gaetan.cambier

toute facon, au lieu de monitorer ton ip, le plus simple est d'avoir une action sur download station au if-up / if-down de l'interface vpn

pour dovecot, c'est cette ligne dans le fichier de conf qui permet de desactivé sslv3 (me demandé pas ou il se trouve sur syno, je l'utilise pas ) ssl_protocols = !SSLv2 !SSLv3 pour ceci : ssl_cipher_list = DHE-RSA-AES256-SHA:DHE-RSA-AES128 SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!PSK:!SRP:!DSS:!SSLv2:!SSLv3:!RC4 elle pass pas car en fait tous les protocol decarer sont en SSLv3 et ensuite tu enlève SSLv3 --> vide) je propose : ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES128:RSA+3DES+SHA:!aECDH:!DSS:!aNULL qui renvoit donc les algorithme dans l'ordre suivant : ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384 ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384 ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1 ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1 DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256 DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256 ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256 ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1 ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1 DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256 DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1 DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 tous des protocols forts et supporte le Perfect Forward Secrecy (http://fr.wikipedia.org/wiki/Confidentialit%C3%A9_persistante), à l'exception du dernier qui reste la pour assurer la compatibilité avec IE8/XP SP3 il est noté SSLv3 mais comme on desactive SSLv3, ses algorithme seront uniquement utilisé avec TLS1.0

cette ligne aussi est une passoire : ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3 elle permet d'utiliser des algorithmes sans authentification en plus en mettant !SSLv3 dans la ligne, ca supprime tout algorithme compatible également avec tls 1.0 --> seul tls 1.2 est autorisé --> problème de compatibilité

Si je me trompe pas le problème vient de l'utilisation du HTTPS avec le live que ce soit via haproxy ou direct via le port 5001 du dsm

c'est aussi à conseiller sur les reverse proxy (nginx, haproxy, ...) synology va probablement sortir une update pour mettre à jour openssl pour supporter le tls_fallback_scsv

j'ai jamais dis que son onduleur avec une prise reseau, j'ai juste conseiller que le switch soit egalement sur l'onduleur car en cas de coupure de courant, le synology ensoit l'info et comme le switch est sans courant --> eteind, l'info n'arrive jamais à destination du serveur ESXI

demande au syno un certificat auto généré, --> il va ecrasé ton certificat périmé, et puis, réimporte ton certificat que tu viens de faire chez gandhi tu retest le tout et j'espère que çà ira

ce que tu peux faire, c'est tester sur https://www.ssllabs.com/ssltest/ et nous faire un copier coller de tout en enlevant ton nom de domaine si tu préfère (copie colle dans bloc note et faire un rechercher remplacer avec domaine.com) ps : sur le site ssllabs, si il te dis qu'il y a un problème de certificat, click pour ignorer afin de faire toute l'analyse

oui, ca fonctionnera ainsi n'oublie pas que au minimum ton switch doit egalement etre connecter à l'onduleur pour que l'info que l'ups passe en mode baterie arrive à ton serveur ESXI

Pourquoi pas installé crashplan sur ton nas au lieu de ton PC ?

Ça s'applique a ds file, je viens de verifier

Ben vaut mieux vérifier les fichier dispo, et aucun pour ton nas comme pour pas mal de nas d'ailleurs. Ce n'est pas une update pour tous les syno

Le 411+ n'est pas dans la mise a jour pour l'update 7 http://ukdl.synology.com/download/criticalupdate/update_pack/4493-7/

Manque donc une association vers le back-end qui gère le port (semble être le back-end photo)

Je suis pas sur mais de mémoire l'association manque pour le www. Suffit de la créer

Me semble que dans les paramètre de photo station c'est configurable

Lorsque tu affiche un raw en pleine résolution, vu que le fichier est beaucoup plus gros, logiquement, ça sera plus lent. Mais photo station crée des miniature quand c'est pas en pleine résolution la ça restera rapide

http://forum.synology.com/enu/viewtopic.php?f=20&t=69792

la demo live du dsm est ici : (c'est la beta qui sortira en janvier) https://www.synology.com/fr-fr/dsm/live_demo

Et pourquoi pas une sauvegarde avec crashplan dans un dossier qui serait uploader dans le cloud ? Crashplan gère le cryptage blowfish 448 bits

Oui c vrai mais en théorie tu doit avoir une section port range forwarding pour faire ça en une seule règle autrement un à un ça fonctionnera

Suis sur mon GSM et n'avait pas vu la capture de ton nat, ça parrait bon Essaye d'ajouter les ports pasv dans le firewall, ça bloque p-e la

Tu dis dans ton premier message que tu as ouvert le port 20

Oui et ne pas forcément donné les droit vpn a tous le monde.

Normal, ce n'est pas le port 20 si tu passe en pasv. C'est de 55536 à 55551